Безпека усіх даних електронної системи охорони здоров’я (ЕСОЗ) – це один із топ-пріоритетів, який закладено в основу системи. Так, на відміну від паперових карток, медична інформація в ЕСОЗ технологічно зберігається окремо від персональних даних пацієнта. Таким чином забезпечується розмежування пацієнтських даних, що є однією з складових безпеки і значно підвищує її рівень.
Дані, що стосуються здоров’я (скарги, факт звернення за меддопомогою, діагноз, обстеження, огляди і їх результати тощо) належить до медичних даних, безпека яких становить особливий ризик для прав і свобод людини. Сьогодні детальніше розкажемо про те, що таке медичні дані і як забезпечується їх захист в ЦБД ЕСОЗ.
Що таке медичні дані?
В українському та міжнародному законодавстві немає розмежування між медичними та персональнии даними. Медичні дані є частиною персональної інформації людини.
Медична інформація про пацієнта – це інформація про стан здоров’я пацієнта, його діагноз, відомості, одержані під час медичного обстеження, зокрема відповідні медичні документи, що стосуються здоров’я пацієнта (Постанова КМУ №411 від 28 квітня 2018 року).
Згідно з General Data Protection Regulation (GDPR) «персональні електронні дані про здоров’я» означають дані щодо здоров’я та генетичні дані, оброблені в електронній формі.
Також існує поняття «неперсональні електронні дані про здоров’я», що означає електронні дані про здоров’я, відмінні від персональних електронних даних про здоров’я, зокрема, анонімізовані дані, які більше не стосуються ідентифікованої фізичної особи («суб’єкт даних»), а також дані, які ніколи не стосувалися суб’єкта даних.
Як в українському, так і в міжнародному законодавстві людина має право на захист своїх персональних даних.
У Загальній декларації прав людини від 10 грудня 1948 року йдеться про те, що “ніхто не може зазнавати безпідставного втручання у його особисте і сімейне життя, безпідставного посягання на недоторканність його житла, тайну його кореспонденції або на його честь і репутацію. Кожна людина має право на захист закону від такого втручання або таких посягань” (стаття 12).
Європейська конвенція про захист прав людини та основоположних свобод від 1950 року у статті 8 визначає право на повагу до приватного і сімейного життя: “Кожен має право на повагу до свого приватного і сімейного життя, до свого житла і кореспонденції. Органи державної влади не можуть втручатись у здійснення цього права, за винятком випадків, коли втручання здійснюється згідно із законом і є необхідним у демократичному суспільстві в інтересах національної та громадської безпеки чи економічного добробуту країни, для запобігання заворушенням чи злочинам, для захисту здоров’я чи моралі або для захисту прав і свобод інших осіб”.
Отже, у міжнародному правовому полі наразі часто немає поділу на медичні та персональні дані. Так, наприклад, статтею 7 Закону України “Про захист персональних даних” забороняється обробка персональних даних про, зокрема, “даних, що стосуються здоров’я, статевого життя, біометричних або генетичних даних”, крім випадків, передбачених таким законом.
Медична інформація про пацієнта є частиною його персональних даних і є так званими “чутливими даними”, які потребують особливого захисту. Так, наприклад, стаття 6 Закону України “Про психіатричну допомогу” висуває додаткові правила щодо конфіденційності відомостей щодо стану психічного здоров’я.
Про міжнародні стандарти захисту і безпеки медичних даних
Задля підвищення рівня безпеки в ЕСОЗ дані розділені на персональні і медичні – технологічно зберігаються відокремлено. Це відповідає найкращим практикам регулювання захисту і безпеки персональних даних. Так, GDPR визначає особливий статус медичних даних, які мають зберігатися окремо або в зашифрованій формі, тобто вимагає анонімізації для зниження ризиків витоку персональних даних.
Стандарт Information Security Management in Health (ISO 27799) дещо розширює вимоги до збереження даних у сфері охорони здоров’я і визначає вимоги до логічного та фізичного розмежування медичних та особистих даних.
В американському законодавстві також йдеться про те, що медична інформація (Protected Health Information) повинна бути шифрованою під час збереження та передачі. Зокрема, Health Insurance Portability and Accountability Act (HIPAA) вимагає логічного та фізичного розділення особистої ідентифікаційної інформації (Personally Identifiable Information) та медичної інформації (Protected Health Information). У документі йдеться про те, що контроль доступу до медичних даних здійснюється за принципом «мінімально необхідного доступу» (least privilege access).
Fast Healthcare Interoperability Resources (HL7 FHIR) як стандарт правил і специфікацій безпечного обміну електронними даними в охороні здоров’я також рекомендує логічне розділення ідентифікаційної інформації та медичних записів. Стандарт передбачає зберігання персональних даних окремо, а в медичних записах використовувати унікальні ідентифікатори замість особистої інформації.
Як медичні дані вносяться в ЦБД ЕСОЗ?
Медичні дані про пацієнта вносяться в ЦБД ЕСОЗ у формі електронних медичних записів і зберігаються в електронній медичній картці пацієнта. Електронна медична карта пацієнта – це структурована сукупність медичної інформації про пацієнта (медичних записів, записів про направлення, рецептів, медичних висновків тощо), яка внесена до центральної бази даних ЕСОЗ.
ЕСОЗ – це багатокомпонентна система, до якої залучено кілька сторін і учасників. Це і пацієнти, і медичні заклади, і медичні інформаційні системи, ДП “Електронне здоров’я”, МОЗ та НСЗУ. Кожен з учасників має свою роль та обов’язки і їх виконання є важливим фактором, що впливає, зокрема, на якість обробки та захисту даних в ЕСОЗ.
Першими, хто починає обробку медичних даних пацієнтів є медичні працівники закладу охорони здоров’я, які завдяки медичним інформаційним системам мають змогу створювати, переглядати та обмінюватися інформацією, даними і документами. Між центральною базою даних (ЦБД) та електронними медичними інформаційними системами (МІС) забезпечено автоматизований обмін інформацією, даними та документами через відкритий програмний інтерфейс (АРI).
Медичні дані пацієнта, які медпрацівник відправляє до ЦБД ЕСОЗ, зберігаються в центральній базі даних ЕСОЗ, що є сукупністю реєстрів, підсистем тощо. За їх захист та збереження в ЕСОЗ відповідає держава в особі НСЗУ. Так, під час кожного візиту пацієнта медпрацівник має вносити інформацію через МІС до ЦБД, засвідчуючи цю дію власним електронним підписом.
Розмежування пацієнтських даних
Сама архітектура ЕСОЗ побудована таким чином, що персональні дані (наприклад, такі як: ПІБ, дата народження, контактні дані, місце проживання тощо) та медичні дані пацієнта (дані, що стосуються здоров’я) зберігаються відокремлено в різних частинах центральної бази даних ЕСОЗ (кластерах), що не передбачає безпосереднього зіставлення ідентифікованого пацієнта з його медичними даними, а відтак унеможливлює ризик отримання даних про пацієнтів у випадку кабератак.
Такий принцип реалізовується за рахунок жорсткого розмежування прав доступів, фізичного розділення інформації та використання спеціального шифрування, яке забезпечує неможливість ідентифікації пацієнта за його медичними записами і навпаки. Інакше кажучи, збереження та обробка інформації здійснюється не тільки згідно з вимогами законодавства, а й у спосіб, що перевищує їх.
Доступ до медичних даних пацієнта в ЕСОЗ
Доступ до інформації, що міститься в ЕСОЗ, надається виключно ідентифікованим та авторизованим системою користувачам, що мають відповідні права та рівні доступу.
Дані про пацієнтів, в тому числі медичні дані захищаються національним законодавством, зокрема, Законом України «Про захист персональних даних», Законом України «Основи законодавства України про охорону здоров’я», Законом України «Про державні фінансові гарантії медичного обслуговування населення» та Порядком функціонування електронної системи охорони здоров’я, затвердженого постановою Кабінету Міністрів України від 25.04.2018 № 411 та профільними наказами МОЗ.
Доступ до даних та їх обробка здійснюється лише на підставах, передбачених законодавством. Пацієнт може управляти доступом до своїх даних. Якщо медпрацівнику потрібні дані для надання медичного обслуговування пацієнту, доступу до яких він не має, то він може його отримати лише за згодою пацієнта (або його законного представника). Надання такого доступу до своїх даних пацієнт підтверджує через надання одноразового чотиризначного коду, який надсилається йому або його законному представнику. Якщо пацієнт надасть такий код, медичний працівник отримає тимчасовий доступ до запитуваних даних. Термін дії такого доступу залежить від характеру даних і становить від 12 год до року.
Детальніше про доступ до даних можна переглянути у вебінарі за посиланням.
НСЗУ може використовувати знеособлені медичні записи, наприклад, для здійснення оплат законтрактованим медзакладам за фактично надані послуги або збору статистичних даних для прийняття управлінських рішень.
Пацієнт може отримати інформацію про себе, що внесна в ЕСОЗ, через звернення до свого лікуючого лікаря. Якщо це неможливо, то пацієнт може подати запит в НСЗУ.
МОЗ та ДП “Електронне здоров’я” не мають доступу до даних про пацієнта, в тому числі медичних, а НСЗУ – використовує його виключно за наявності підстави для такого доступу в межах повноважень. Тобто дані пацієнта нікому не будуть розкриті без наявності законної підстави.
Дотримання вимог щодо безпеки даних в ЕСОЗ було пріоритетним напрямом діяльності ще до повномасштабного вторгнення, а тим більше зараз в умовах підвищеної загрози кібератак.
Електронна система охорони здоровʼя забезпечила всі вимоги захисту, які визначені на рівні держави. Це підтверджується, зокрема, атестатом відповідності комплексної системи захисту інформації. Також безумовно враховуються міжнародні рекомендації з кібербезпеки.
